Une nouvelle version de LibreOffice est disponible et il s'agit d'une mise à jour de sécurité qui corrige trois failles de sécurité, dont l'une pourrait être exploitée pour réaliser une exécution de code malveillant sur les machines équipées de la suite bureautique.

Ces trois vulnérabilités sont associées aux références suivantes : CVE-2022-26305, CVE-2022-26306, et  CVE-2022-26307. Les trois vulnérabilités, qui ont été signalées par l'OpenSource Security GmbH ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice.

La vulnérabilité la plus dangereuse et celle associée à la référence CVE-2022-26305. Elle correspond à un problème de validation du certificat lors de la vérification de la signature d'une macro créée par un auteur approuvé. En exploitant cette faille de sécurité, un attaquant peut exécuter du code malveillant à partir des macros. Sur son site, l'équipe de The Document Foundation, qui gère LibreOffice, précise : "Un attaquant pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d'émetteur identique à un certificat de confiance que LibreOffice présenterait comme appartenant à un auteur approuvé, ce qui pourrait amener l'utilisateur à exécuter du code arbitraire contenu dans des macros approuvées alors qu'elles ne devraient pas l'être."

Même si je n'en parle pas régulièrement, LibreOffice publie des mises à jour de sécurité plusieurs fois par an. Ces nouveaux correctifs sont disponibles 5 mois après que les développeurs du projet LibreOffice aient corrigé un autre bug de sécurité lié à la validation des certificats (référencé CVE-2021-25636). Par ailleurs, et même si cela remonte un peu plus, sachez qu'en octobre 2021, trois failles d'usurpation d'identité ont été corrigées et elles pouvaient être utilisées pour modifier des documents et les faire apparaître comme signés numériquement par une source fiable.

Si vous utilisez LibreOffice : à vos mises à jour ! La dernière version de LibreOffice disponible à ce jour, à savoir LibreOffice 7.3.5 intègre ces correctifs bien entendu.

Source

The post LibreOffice : 3 failles corrigées, dont une qui permet une exécution de code malveillant first appeared on IT-Connect.